HvJ EU, 21-12-2023, nr. C-667/21

De overwegingen 4 tot en met 8, 10, 35, 51 tot en met 53, 75 en 146 AVG luiden als volgt:

Hoofdstuk I van de AVG, met als opschrift ‘Algemene bepalingen’, bevat een artikel 2 (‘Materieel toepassingsgebied’), dat in lid 1 het volgende bepaalt:

Artikel 4 (‘Definities’) van die verordening luidt als volgt:

Hoofdstuk II van de AVG, met als opschrift ‘Beginselen’, omvat de artikelen 5 tot en met 11.

Artikel 5 AVG, met als opschrift ‘Beginselen inzake verwerking van persoonsgegevens’, bepaalt het volgende:

Artikel 6 AVG, met als opschrift ‘Rechtmatigheid van de verwerking’, bepaalt in lid 1:

Artikel 9 AVG, met als opschrift ‘Verwerking van bijzondere categorieën van persoonsgegevens’, is verwoord als volgt:

Hoofdstuk IV van de AVG, met als opschrift ‘Verwerkingsverantwoordelijke en verwerker’, bevat de artikelen 24 tot en met 43.

Dit hoofdstuk bevat een afdeling 1 (‘Algemene verplichtingen’) waarvan artikel 24 (‘Verantwoordelijkheid van de verwerkingsverantwoordelijke’) in lid 1 het volgende bepaalt:

Datzelfde hoofdstuk bevat een afdeling 2 (‘Persoonsgegevensbeveiliging’) waarvan lid 1 van artikel 32 (‘Beveiliging van de verwerking’) geformuleerd is als volgt:

Hoofdstuk VIII van de AVG, met als opschrift ‘Beroep, aansprakelijkheid en sancties’, bevat de artikelen 77 tot en met 84 van deze verordening.

Artikel 82 AVG, met als opschrift ‘Recht op schadevergoeding en aansprakelijkheid’, luidt als volgt:

Artikel 83 AVG, met als opschrift ‘Algemene voorwaarden voor het opleggen van administratieve geldboeten’, bepaalt:

Artikel 84 AVG, met als opschrift ‘Sancties’, bepaalt in lid 1:

Krachtens § 275, lid 1, van het Sozialgesetzbuch, Fünftes Buch (Boek V van het Duitse socialezekerheidswetboek), in de versie die van toepassing is op het hoofdgeding, zijn de publieke zorgverzekeraars verplicht om, in de bij wet bepaalde gevallen of wanneer de ziekte van de verzekerde het vereist, advies in te winnen bij een Medizinischer Dienst (medische dienst) die hen bijstaat, om met name twijfels omtrent de arbeidsongeschiktheid van die verzekerde weg te nemen.

§ 278, lid 1, van dat wetboek bepaalt dat een dergelijke medische dienst in elke deelstaat wordt opgericht met de rechtsvorm van een publiekrechtelijke instelling.

Met zijn eerste vraag wenst de verwijzende rechter in wezen te vernemen of, gelet op het in artikel 9, lid 1, AVG neergelegde verbod om gegevens over gezondheid te verwerken, lid 2, onder h), van dat artikel aldus moet worden uitgelegd dat de daarin neergelegde uitzondering van toepassing is op situaties waarin een medisch controleorgaan gezondheidsgegevens van een van zijn werknemers niet verwerkt in de hoedanigheid van werkgever maar van medische dienst, teneinde de arbeidsgeschiktheid van die werknemer te beoordelen.

Volgens vaste rechtspraak moet bij de uitlegging van een Unierechtelijke bepaling niet alleen rekening worden gehouden met haar bewoordingen, maar ook met de context en de doelstellingen ervan en met het oogmerk van de regeling waarvan zij deel uitmaakt. Ook de ontstaansgeschiedenis van een Unierechtelijke bepaling kan relevante gegevens voor de uitlegging van die bepaling bevatten (arrest van 16 maart 2023, Towercast, C-449/21, EU:C:2023:207, punt 31 en aldaar aangehaalde rechtspraak).

In de eerste plaats zij erop gewezen dat artikel 9 AVG, blijkens het opschrift ervan, betrekking heeft op de ‘verwerking van bijzondere categorieën van persoonsgegevens’, die tevens als ‘gevoelig’ worden gekwalificeerd in de overwegingen 10 en 51 van die verordening.

In overweging 51 AVG staat te lezen dat persoonsgegevens die door hun aard bijzonder gevoelig zijn uit het oogpunt van de grondrechten en de fundamentele vrijheden, specifieke bescherming verdienen aangezien de context van de verwerking ervan significante risico's voor deze grondrechten en de fundamentele vrijheden met zich kan brengen.

In artikel 9, lid 1, AVG wordt dan ook het beginsel neergelegd dat de verwerking van bijzondere categorieën van persoonsgegevens verboden is. Tot die laatste behoren de in casu aan de orde zijnde ‘gegevens over gezondheid’, zoals gedefinieerd in artikel 4, punt 15, van deze verordening, gelezen in het licht van overweging 35 ervan.

Het Hof heeft verduidelijkt dat artikel 9, lid 1, AVG beoogt een verhoogde bescherming te bieden tegen verwerkingen die, wegens de bijzondere gevoeligheid van de gegevens die er het voorwerp van zijn, op bijzonder ernstige wijze inbreuk kunnen maken op de door de artikelen 7 en 8 van het Handvest gewaarborgde grondrechten op eerbiediging van het privéleven en bescherming van persoonsgegevens [zie in die zin arrest van 5 juni 2023, Commissie/Polen (Onafhankelijkheid en privéleven van rechters), C-204/21, EU:C:2023:442, punt 345 en aldaar aangehaalde rechtspraak].

Artikel 9, lid 2, onder a) tot en met j), AVG voorziet evenwel in een uitputtende lijst met uitzonderingen op het beginsel van het verbod op de verwerking van die gevoelige gegevens.

In het bijzonder staat artikel 9, lid 2, onder h), AVG een dergelijke verwerking toe indien zij ‘noodzakelijk [is met name] voor de beoordeling van de arbeidsgeschiktheid van de werknemer […] op grond van Unierecht of lidstatelijk recht, of uit hoofde van een overeenkomst met een gezondheidswerker’. Deze bepaling preciseert dat elke daarop gebaseerde verwerking bovendien specifiek aan ‘de in lid 3 genoemde voorwaarden en waarborgen’ van dat artikel 9 onderworpen is.

Uit artikel 9, lid 2, onder h), AVG, gelezen in samenhang met lid 3 van dat artikel, volgt dat de mogelijkheid om gevoelige gegevens — zoals die over gezondheid — te verwerken, strikt is geregeld door een reeks cumulatieve voorwaarden. Deze voorwaarden hebben betrekking op, ten eerste, de in punt h) genoemde doelstellingen — waaronder de beoordeling van de arbeidsgeschiktheid van een werknemer —, ten tweede, de rechtsgrondslag van die verwerking — volgens punt h) het Unierecht, lidstatelijk recht of een overeenkomst met een gezondheidswerker — en ten slotte, ten derde, de geheimhoudingsplicht die rust op de personen die krachtens artikel 9, lid 3, bevoegd zijn om een dergelijke verwerking te verrichten, die allen overeenkomstig laatstgenoemde bepaling tot geheimhouding moeten zijn gehouden.

Zoals de advocaat-generaal in de punten 32 en 33 van zijn conclusie in wezen heeft opgemerkt, bevatten noch de bewoordingen van artikel 9, lid 2, onder h), AVG, noch de ontstaansgeschiedenis van deze bepaling aanwijzingen dat de toepassing van de in deze bepaling neergelegde uitzondering beperkt is tot gevallen waarin de verwerking wordt verricht door een ‘neutrale derde en niet door de werkgever’ van de betrokkene, zoals gedefinieerd in artikel 4, punt 1, van deze verordening, zoals de verwijzende rechter suggereert.

Gelet op de opvatting van de verwijzende rechter die erop neerkomt dat een instantie zich niet mag kunnen baseren op haar ‘dubbele hoedanigheid’ van werkgever van de betrokkene enerzijds en medische dienst anderzijds om te ontsnappen aan het beginsel van het verbod op verwerking van gegevens over gezondheid, zoals neergelegd in artikel 9, lid 1, AVG, dient te worden verduidelijkt dat het van doorslaggevend belang is om rekening te houden met de grondslag op basis waarvan de verwerking van die gegevens plaatsvindt.

Hoewel artikel 9, lid 1, de verwerking van gegevens over gezondheid principieel verbiedt, voorziet lid 2, punten a) tot en met j), van datzelfde artikel immers in tien uitzonderingen die los van elkaar staan en derhalve onafhankelijk moeten worden beoordeeld. Wanneer niet is voldaan aan een van de voorwaarden voor de toepassing van een uitzondering van lid 2, staat dit dus niet eraan in de weg dat een verwerkingsverantwoordelijke zich op een andere uitzondering van die bepaling kan beroepen.

Uit het voorgaande volgt dat artikel 9, lid 2, onder h), AVG, gelezen in samenhang met lid 3 van dat artikel, geenszins uitsluit dat de in punt h) bedoelde uitzondering wordt toegepast op situaties waarin een medisch controleorgaan gezondheidsgegevens van een van zijn werknemers verwerkt in de hoedanigheid van medische dienst, en niet in die van werkgever, teneinde de arbeidsgeschiktheid van die werknemer te beoordelen.

In de tweede plaats wordt een dergelijke uitlegging bevestigd wanneer rekening wordt gehouden met het stelsel waarvan artikel 9, lid 2, onder h), AVG, deel uitmaakt, en vindt zij steun in de doelstellingen van die verordening en deze bepaling.

Ten eerste moet artikel 9, lid 2, AVG, voor zover daarin een uitzondering is opgenomen op het beginsel dat de verwerking van bijzondere categorieën van persoonsgegevens verboden is, inderdaad restrictief worden uitgelegd [arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C-252/21, EU:C:2023:537, punt 76].

De naleving van het principiële verbod van artikel 9, lid 1, AVG mag evenwel niet tot gevolg hebben dat de werkingssfeer van een andere bepaling van die verordening wordt beperkt op een manier die indruist tegen de duidelijke bewoordingen van deze laatste bepaling. De voorgestelde uitlegging, volgens welke de werkingssfeer van de uitzondering van artikel 9, lid 2, onder h), moet worden beperkt tot de gevallen waarin een ‘neutrale derde’ gegevens over gezondheid verwerkt met het oog op de beoordeling van de arbeidsgeschiktheid van een werknemer, zou echter een vereiste toevoegen dat geenszins uit de duidelijke bewoordingen van laatstgenoemde bepaling blijkt.

In dit verband is het irrelevant dat in casu — indien het MDK Nordrhein verboden zou zijn om haar taak van medische dienst te vervullen wanneer een van haar eigen werknemers betrokken is — een andere instantie voor medische controle deze taak op zich zou kunnen nemen. Dit alternatief, dat door de verwijzende rechter wordt geopperd, is niet noodzakelijkerwijs aanwezig of uitvoerbaar in alle lidstaten en in alle situaties die onder artikel 9, lid 2, onder h), AVG kunnen vallen. Bij de uitlegging van deze bepaling mag echter niet worden uitgegaan van overwegingen die zijn ontleend aan het gezondheidsstelsel van één enkele lidstaat of die voortvloeien uit de specifieke omstandigheden van het hoofdgeding.

Ten tweede is de uitlegging in punt 48 van het onderhavige arrest in overeenstemming met de doelstellingen van de AVG en met die van artikel 9 van deze verordening.

Zo staat in overweging 4 AGV te lezen dat het recht op bescherming van persoonsgegevens geen absolute gelding heeft, aangezien het moet worden beschouwd in relatie tot de functie ervan in de samenleving en het conform het evenredigheidsbeginsel tegen andere grondrechten moet worden afgewogen (zie in die zin arrest van 22 juni 2023, Pankki S, C-579/21, EU:C:2023:501, punt 78). Bovendien heeft het Hof er reeds op gewezen dat de regelingen die het mogelijk maken om een juist evenwicht te vinden tussen de verschillende aan de orde zijnde rechten en belangen, vervat zijn in de AVG zelf (zie in die zin arrest van 17 juni 2021, M.I.C.M., C-597/19, EU:C:2021:492, punt 112).

Die overwegingen gelden ook wanneer de betrokken gegevens vallen onder de bijzondere categorieën als vermeld in artikel 9 van die verordening [zie in die zin arrest van 24 september 2019, GC e.a. (Verwijdering van links naar gevoelige gegevens), C-136/17, EU:C:2019:773, punten 57 en 66–68], zoals de gegevens over gezondheid.

Meer in het bijzonder blijkt uit overweging 52 AVG dat ‘[afwijkingen] van het verbod op de verwerking van [deze] bijzondere categorieën van [gegevens]’ moeten worden toegestaan ‘wanneer zulks in het algemeen belang is, in het bijzonder […] op het gebied van het arbeidsrecht en het socialebeschermingsrecht’ en ‘voor gezondheidsdoeleinden, […] met name om de kwaliteit en kostenefficiëntie te waarborgen van de procedures voor de afwikkeling van aanvragen voor uitkeringen en diensten in het kader van de ziektekostenverzekering’. In overweging 53 van deze verordening staat ook te lezen dat verwerkingen ‘voor gezondheidsdoeleinden’ mogelijk moeten zijn ‘indien dat nodig is om die doeleinden te verwezenlijken in het belang van natuurlijke personen en de samenleving als geheel, met name bij het beheer van gezondheidszorgdiensten en -stelsels of sociale diensten en stelsels van sociale diensten’.

Vanuit die algemene invalshoek bezien en gelet op de verschillende aan de orde zijnde legitieme belangen heeft de Uniewetgever in artikel 9, lid 2, onder h), AVG voorzien in de mogelijkheid om af te wijken van het in lid 1 van dat artikel opgenomen principiële verbod op de verwerking van gegevens over gezondheid, op voorwaarde dat de betrokken verwerking aan de voorwaarden en waarborgen voldoet die uitdrukkelijk door punt h) en de andere relevante bepalingen van die verordening, in het bijzonder lid 3 van artikel 9, zijn opgelegd, welke bepalingen niet voorzien in het vereiste dat een medische dienst die dergelijke gegevens op grond van dat punt h) verwerkt, een entiteit is die losstaat van de werkgever van de betrokkene.

Gelet op een en ander en onverminderd de antwoorden op de tweede en de derde vraag, moet op de eerste vraag worden geantwoord dat artikel 9, lid 2, onder h), AVG aldus moet worden uitgelegd dat de in deze bepaling neergelegde uitzondering van toepassing is op situaties waarin een medisch controleorgaan gezondheidsgegevens van een van zijn werknemers niet verwerkt in de hoedanigheid van werkgever maar van medische dienst, teneinde de arbeidsgeschiktheid van die werknemer te beoordelen, mits de betrokken verwerking voldoet aan de voorwaarden en waarborgen waarin dat punt h) en artikel 9, lid 3, uitdrukkelijk voorzien.

Volgens de verwijzende rechter blijkt uit de overwegingen 35, 51, 53 en 75 AVG dat er in een situatie als in het hoofdgeding, waarin de verwerkingsverantwoordelijke tegelijkertijd de werkgever is van de persoon wiens arbeidsgeschiktheid wordt beoordeeld, niet alleen moet worden voldaan aan de vereisten van artikel 9, lid 3, AVG. Die verordening gebiedt volgens hem bovendien dat alle werknemers van de verwerkingsverantwoordelijke die enig beroepsmatig contact met die persoon hebben, van de verwerking van gezondheidsgegevens worden uitgesloten. Volgens die rechter moet elke verwerkingsverantwoordelijke die meerdere vestigingen heeft — zoals MDK Nordrhein —, ervoor zorgen dat de entiteit die belast is met de verwerking van gegevens over de gezondheid van werknemers van die verantwoordelijke, steeds onder een andere vestiging ressorteert dan deze waar de betrokken werknemer werkzaam is. Bovendien belet het beroepsgeheim dat rust op de werknemers die bevoegd zijn om dergelijke gegevens te verwerken, in feite niet dat een collega van de betrokkene toegang heeft tot de hem betreffende gegevens, hetgeen risico's op schade met zich meebrengt, zoals de aantasting van diens reputatie.

In die omstandigheden wenst de verwijzende rechter met zijn tweede vraag in wezen te vernemen of de bepalingen van de AVG aldus moeten worden uitgelegd dat de verantwoordelijke voor een op artikel 9, lid 2, onder h), van deze verordening gebaseerde verwerking van gegevens over gezondheid moet waarborgen dat geen enkele collega van de betrokkene toegang heeft tot de gegevens die betrekking hebben op zijn gezondheidstoestand.

Er zij aan herinnerd dat, overeenkomstig artikel 9, lid 3, AVG, een verwerking die betrekking heeft op de gegevens en ziet op de doeleinden die in respectievelijk artikel 9, lid 1, en lid 2, onder h), zijn vermeld — in casu de verwerking van gegevens over gezondheid voor de beoordeling van de arbeidsgeschiktheid van een werknemer — slechts kan worden verricht wanneer die gegevens worden verwerkt door of onder de verantwoordelijkheid van een beroepsbeoefenaar die krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels aan het beroepsgeheim is gebonden, of door een andere persoon die eveneens krachtens Unierecht of lidstatelijk recht of krachtens door nationale bevoegde instanties vastgestelde regels tot geheimhouding is gehouden.

Met de vaststelling van artikel 9, lid 3, AVG, dat juist naar lid 2, onder h), van dat artikel verwijst, heeft de Uniewetgever de specifieke beschermingsmaatregelen omschreven die hij aan de verantwoordelijken voor dergelijke verwerkingen wilde opleggen en die erin bestaan dat deze verwerkingen zijn voorbehouden aan personen die overeenkomstig de voorwaarden van lid 3 tot geheimhouding zijn gehouden. Aan de bewoordingen van laatstgenoemde bepaling mogen dus geen eisen worden toegevoegd die daarin niet worden genoemd.

Daaruit volgt — zoals de advocaat-generaal in punt 43 van zijn conclusie in wezen heeft opgemerkt — dat artikel 9, lid 3, AVG niet als rechtsgrondslag kan dienen voor een maatregel die waarborgt dat geen enkele collega van de betrokkene toegang heeft tot de gegevens over diens gezondheidstoestand.

Evenwel moet worden onderzocht of het vereiste dat ervoor moet worden gezorgd geen enkele collega van de betrokkene toegang heeft tot de gegevens betreffende zijn gezondheidstoestand, krachtens een andere bepaling van deze verordening kan worden opgelegd aan de verantwoordelijke voor de verwerking van gegevens over gezondheid uit hoofde van artikel 9, lid 2, onder h), AVG.

In dit verband zij erop gewezen dat de enige mogelijkheid voor de lidstaten om een dergelijk vereiste toe te voegen aan de in artikel 9, leden 2 en 3, AVG genoemde voorwaarden, gelegen is in de mogelijkheid die hun door lid 4 van dat artikel uitdrukkelijk is verleend om ‘bijkomende voorwaarden, waaronder beperkingen, met betrekking tot de verwerking van […] gegevens over gezondheid [te] handhaven of [in te voeren]’.

Dergelijke aanvullende voorwaarden vloeien echter niet voort uit de bepalingen van de AVG als zodanig, maar — in voorkomend geval — uit regels van nationaal recht die op dergelijke verwerkingen van toepassing zijn, ten aanzien waarvan de verordening de lidstaten uitdrukkelijk een beoordelingsmarge laat (zie in die zin arrest van 30 maart 2023, Hauptpersonalrat der Lehrerinnen und Lehrer, C-34/21, EU:C:2023:270, punten 51 en 78).

Bovendien moet worden benadrukt dat een lidstaat die gebruik wil maken van de in artikel 9, lid 4, van die verordening geboden mogelijkheid, overeenkomstig het evenredigheidsbeginsel ervoor moet zorgen dat de praktische gevolgen, met name van organisatorische, economische en medische aard, die voortvloeien uit de aanvullende eisen welke die lidstaat wil stellen, niet buitensporig zijn voor de verwerkingsverantwoordelijken, die niet noodzakelijkerwijs over de vereiste omvang of de nodige technische en personele middelen beschikken om aan deze eisen te voldoen. Zij mogen namelijk geen afbreuk doen aan het nuttige effect van de machtiging tot verwerking waarin uitdrukkelijk is voorzien in artikel 9, lid 2, onder h), van die verordening en die door lid 3 van dat artikel nader wordt geregeld.

Tot slot moet worden benadrukt dat ingevolge artikel 32, lid 1, onder a) en b), AVG — dat de in artikel 5, lid 1, onder f), van deze verordening neergelegde beginselen van integriteit en vertrouwelijkheid concretiseert — elke verantwoordelijke voor de verwerking van persoonsgegevens passende technische en organisatorische maatregelen moet treffen om een op het risico afgestemd beveiligingsniveau te garanderen, in het bijzonder de pseudonimisering en versleuteling van dergelijke gegevens, en het vermogen om met name de vertrouwelijkheid en de integriteit van de verwerkingssystemen en -diensten te garanderen. Wanneer hij vaststelt hoe hij deze verplichting in de praktijk zal brengen, moet de verwerkingsverantwoordelijke overeenkomstig artikel 32, lid 1, AVG rekening houden met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

Het staat evenwel aan de verwijzende rechter om te beoordelen of alle technische en organisatorische maatregelen die in casu door MDK Nordrhein ten uitvoer zijn gelegd, in overeenstemming zijn met de voorschriften van artikel 32, lid 1, onder a) en b), AVG.

Op de tweede vraag moet derhalve worden geantwoord dat artikel 9, lid 3, AVG aldus moet worden uitgelegd dat de verantwoordelijke voor een op artikel 9, lid 2, onder h), van deze verordening gebaseerde verwerking van gegevens over gezondheid krachtens deze bepalingen niet verplicht is te waarborgen dat geen enkele collega van de betrokkene toegang heeft tot de gegevens die betrekking hebben op zijn gezondheidstoestand. Een dergelijke verplichting kan echter aan de verantwoordelijke voor die verwerking worden opgelegd, hetzij op grond van een regeling die door een lidstaat is vastgesteld krachtens artikel 9, lid 4, AVG, hetzij op grond van de beginselen van integriteit en vertrouwelijkheid die zijn neergelegd in artikel 5, lid 1, onder f), van die verordening en nader zijn uitgewerkt in artikel 32, lid 1, onder a) en b), ervan.

Met zijn derde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 9, lid 2, onder h), en artikel 6, lid 1, AVG aldus moeten worden uitgelegd dat een op eerstgenoemde bepaling gebaseerde verwerking van gegevens over gezondheid slechts rechtmatig is indien zij niet alleen voldoet aan de uit die bepaling voortvloeiende vereisten, maar ook aan ten minste een van de in artikel 6, lid 1, AVG gestelde rechtmatigheidsvoorwaarden.

In dit verband zij eraan herinnerd dat de artikelen 5, 6 en 9 AVG zijn opgenomen in hoofdstuk II van deze verordening, met als opschrift ‘Beginselen, en respectievelijk betrekking hebben op de beginselen inzake verwerking van persoonsgegevens, de voorwaarden voor de rechtmatigheid van de verwerking en de verwerking van bijzondere categorieën van persoonsgegevens.

Bovendien moet worden opgemerkt dat overweging 51 AVG uitdrukkelijk vermeldt dat ‘[n]aast de specifieke voorschriften’ die van toepassing zijn op de verwerking van de in artikel 9, leden 2 en 3, van die verordening vermelde ‘bijzonder gevoelige gegevens’, en onverminderd de maatregelen die een lidstaat eventueel op grond van lid 4 van dat artikel heeft vastgesteld, ‘de algemene beginselen en andere regels van [die] verordening [ook dienen] te worden toegepast [op een dergelijke verwerking], met name wat betreft de voorwaarden voor rechtmatige verwerking’, zoals die blijken uit artikel 6 AVG.

Overeenkomstig artikel 6, lid 1, eerste alinea, AVG is de verwerking van ‘bijzonder gevoelige gegevens’, zoals die betreffende de gezondheid, slechts rechtmatig indien ten minste aan een van de voorwaarden van lid 1, eerste alinea, onder a) tot en met f), is voldaan.

Artikel 6, lid 1, eerste alinea, AVG bevat een uitputtende en limitatieve lijst van de gevallen waarin de verwerking van persoonsgegevens als rechtmatig kan worden beschouwd. Een dergelijke verwerking kan dus alleen als rechtmatig worden aangemerkt indien deze valt onder een van de in deze bepaling bedoelde gevallen [arrest van 4 juli 2023, Meta Platforms e.a. (Algemene gebruiksvoorwaarden van een online sociaal netwerk), C-252/21, EU:C:2023:537, punt 90 en aldaar aangehaalde rechtspraak].

Het Hof heeft dan ook reeds herhaaldelijk geoordeeld dat elke verwerking van persoonsgegevens in overeenstemming moet zijn met de in artikel 5, lid 1, AVG geformuleerde beginselen inzake gegevensverwerking en moet voldoen aan de in artikel 6 van die verordening genoemde voorwaarden voor de rechtmatigheid van de verwerking [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C-60/22, EU:C:2023:373, punt 57 en aldaar aangehaalde rechtspraak].

Voorts is reeds geoordeeld dat, aangezien de artikelen 7 tot en met 11 AVG — die net als de artikelen 5 en 6 AVG zijn opgenomen in hoofdstuk II van deze verordening — tot doel hebben de omvang te preciseren van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van artikel 5, lid 1, onder a), en artikel 6, lid 1, van die verordening, de verwerking van persoonsgegevens slechts rechtmatig is indien zij ook in overeenstemming is met die andere bepalingen van dat hoofdstuk, die in wezen betrekking hebben op de toestemming, de verwerking van bijzondere categorieën van gevoelige persoonsgegevens en de verwerking van persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten, zoals uit de rechtspraak van het Hof blijkt [arrest van 4 mei 2023, Bundesrepublik Deutschland (Gerechtelijke elektronische postbus), C-60/22, EU:C:2023:373, punt 58 en aldaar aangehaalde rechtspraak).

Daaruit volgt in het bijzonder dat, aangezien artikel 9, lid 2, onder h), AVG tot doel heeft de omvang te preciseren van de verplichtingen die krachtens artikel 5, lid 1, onder a), en artikel 6, lid 1, van deze verordening op de verwerkingsverantwoordelijke rusten, een op eerstgenoemde bepaling gebaseerde verwerking van gegevens over gezondheid slechts rechtmatig is indien zij zowel voldoet aan de uit die bepaling voortvloeiende vereisten als aan de uit deze laatste twee bepalingen voortvloeiende verplichtingen, en in het bijzonder voldoet aan ten minste een van de in artikel 6, lid 1, AVG gestelde rechtmatigheidsvoorwaarden.

Gelet op het voorgaande dient op de derde vraag te worden geantwoord dat artikel 9, lid 2, onder h), en artikel 6, lid 1, AVG aldus moeten worden uitgelegd dat een op eerstgenoemde bepaling gebaseerde verwerking van gegevens over gezondheid slechts rechtmatig is indien zij niet alleen voldoet aan de uit die bepaling voortvloeiende vereisten, maar ook aan ten minste een van de in artikel 6, lid 1, AVG gestelde rechtmatigheidsvoorwaarden.

Met zijn vierde vraag wenst de verwijzende rechter in wezen te vernemen of artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het in deze bepaling bedoelde recht op schadevergoeding niet alleen een compensatoire maar ook een afschrikkende of punitieve functie vervult en, zo ja, of daarmee eventueel rekening moet worden gehouden bij de vaststelling van het bedrag van de krachtens voornoemde bepaling toe te kennen vergoeding voor immateriële schade.

Er zij aan herinnerd dat artikel 82, lid 1, AVG stelt dat ‘[e]enieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, […] het recht [heeft] om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade’.

Het Hof heeft deze bepaling aldus uitgelegd dat de loutere inbreuk op de AVG niet volstaat om recht op schadevergoeding te doen ontstaan, nadat het er met name op had gewezen dat het bestaan van ‘geleden schade’ een van de voorwaarden is voor het in dat artikel 82, lid 1, bedoelde recht op vergoeding, net zoals het bestaan van een inbreuk op deze verordening en een causaal verband tussen die schade en die inbreuk, waarbij deze drie voorwaarden cumulatief vervuld moeten zijn [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C-300/21, EU:C:2023:370, punten 32 en 42].

Bovendien heeft het Hof geoordeeld dat, daar de AVG geen bepaling bevat die tot doel heeft de regels vast te stellen voor de berekening van de schadevergoeding die op grond van het in artikel 82 van die verordening verankerde recht op schadevergoeding verschuldigd is, de nationale rechters daartoe, krachtens het beginsel van de procedurele autonomie, de interne regels van elke lidstaat inzake de omvang van de geldelijke schadevergoeding moeten toepassen, zolang de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid, zoals uitgelegd door de vaste rechtspraak van het Hof, worden nageleefd [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C-300/21, EU:C:2023:370, punten 53, 54 en 59].

In die context en gelet op overweging 146, zesde volzin, AVG, volgens welke dit instrument een ‘volledige en daadwerkelijke vergoeding van [de] geleden schade’ beoogt te waarborgen, heeft het Hof opgemerkt dat, gelet op de compensatoire functie van het recht op schadevergoeding krachtens artikel 82 van die verordening, een op deze bepaling gebaseerde geldelijke vergoeding als ‘volledig en daadwerkelijk’ moet worden beschouwd indien zij het mogelijk maakt de ten gevolge van de inbreuk op deze verordening werkelijk geleden schade volledig te vergoeden, zonder dat een dergelijke volledige vergoeding vereist dat er een punitieve schadevergoeding wordt opgelegd [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C-300/21, EU:C:2023:370, punten 57 en 58].

In dit verband moet worden benadrukt dat artikel 82 AVG geen punitieve maar een compensatoire functie heeft, in tegenstelling tot andere bepalingen van deze verordening die eveneens zijn opgenomen in hoofdstuk VIII ervan, namelijk in de artikelen 83 en 84 van die verordening, die in wezen een punitieve doelstelling hebben, aangezien zij de mogelijkheid bieden om respectievelijk administratieve geldboeten en andere sancties op te leggen. De verhouding tussen de regels van artikel 82 AVG en die van de artikelen 83 en 84 AVG toont aan dat er een verschil bestaat tussen deze twee categorieën bepalingen, maar dat zij elkaar ook aanvullen in de zin dat naleving van de AVG wordt gestimuleerd, met dien verstande dat het recht van eenieder om schadevergoeding te vorderen de werking van de beschermende bepalingen van deze verordening vergroot en inbreukplegers kan weerhouden van herhaling van onrechtmatig gedrag [zie in die zin arrest van 4 mei 2023, Österreichische Post (Immateriële schade ten gevolge van de verwerking van persoonsgegevens), C-300/21, EU:C:2023:370, punten 38 en 40].

Aangezien het in artikel 82, lid 1, AVG bedoelde recht op schadevergoeding geen afschrikkende of zelfs punitieve functie heeft, zoals door de verwijzende rechter is gesteld, kan de ernst van de door de inbreuk op deze verordening veroorzaakte schade geen invloed hebben op het bedrag van de schadeloosstelling die op grond van die bepaling is toegekend, zelfs niet wanneer het niet om materiële maar om immateriële schade gaat. Hieruit volgt dat dit bedrag niet kan worden vastgesteld op een niveau dat hoger ligt dan de volledige vergoeding van die schade.

Bijgevolg dient op de vierde vraag te worden geantwoord dat artikel 82, lid 1, AVG aldus moet worden uitgelegd dat het recht op schadevergoeding waarin deze bepaling voorziet, een compensatoire functie vervult, in die zin dat een op die bepaling gebaseerde geldelijke schadevergoeding het mogelijk moet maken de concreet door de inbreuk op deze verordening geleden schade volledig te vergoeden, doch geen afschrikkende of punitieve functie.

Uit de gegevens die de verwijzende rechter in antwoord op een verzoek om verduidelijking overeenkomstig artikel 101 van het Reglement voor de procesvoering van het Hof heeft verstrekt, blijkt dat de vijfde vraag ertoe strekt te vernemen, ten eerste, of het bestaan en/of het bewijs van schuld noodzakelijke voorwaarden zijn voor de aansprakelijkheid van de verwerkingsverantwoordelijke of de verwerker en, ten tweede, welke invloed de mate van schuld van de verwerkingsverantwoordelijke of de verwerker kan hebben op de concrete berekening van de schadevergoeding voor de geleden immateriële schade.

Gelet op het antwoord van de verwijzende rechter, moet de vijfde vraag aldus worden opgevat dat die rechter daarmee in wezen wenst te vernemen, ten eerste, of artikel 82 AVG aldus moet worden uitgelegd dat als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke geldt dat er bij hem sprake is van schuld en, ten tweede, of de mate van schuld in aanmerking moet worden genomen bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade.

Wat het eerste onderdeel van deze vraag betreft, moet worden opgemerkt dat — zoals in punt 82 van het onderhavige arrest in herinnering is gebracht — artikel 82, lid 1, AVG het recht op schadevergoeding afhankelijk stelt van drie cumulatieve elementen, te weten het bestaan van een inbreuk op die verordening, het bestaan van geleden schade, en het bestaan van een oorzakelijk verband tussen de inbreuk en de schade.

Artikel 82, lid 2, AVG bepaalt dat elke verwerkingsverantwoordelijke die bij de verwerking is betrokken, aansprakelijk is voor de schade die wordt veroorzaakt door de verwerking die inbreuk maakt op deze verordening. Aan de hand van de bewoordingen van deze bepaling in sommige taalversies, met name de versie in de Duitse taal — die de procestaal is in de onderhavige zaak —, kan niet met zekerheid worden vastgesteld of de betrokken inbreuk aan de verwerkingsverantwoordelijke moet kunnen worden toegerekend opdat hij aansprakelijk kan worden gesteld.

In dit verband blijkt uit een analyse van de verschillende taalversies van de eerste volzin van artikel 82, lid 2, AVG, dat de verwerkingsverantwoordelijke wordt geacht te hebben deelgenomen aan de verwerking die de betreffende inbreuk op de verordening vormt. Terwijl de Duitse, de Franse en de Finse taalversie ruim zijn geformuleerd, blijken namelijk een aantal andere taalversies nauwkeuriger te zijn en gebruiken zij een aanwijzend voornaamwoord bij de derde vermelding van de term ‘verwerking’, of voor de derde verwijzing naar deze term, zodat duidelijk is dat deze derde vermelding of deze derde verwijzing op dezelfde handeling slaat als de tweede vermelding van die term. Dit is het geval voor de Spaanse, de Estse, de Griekse, de Italiaanse en de Roemeense taalversie.

Artikel 82, lid 3, AVG verduidelijkt in dit verband dat een verwerkingsverantwoordelijke van aansprakelijkheid op grond van lid 2 van dat artikel wordt vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.

Uit een gecombineerde analyse van deze verschillende bepalingen van artikel 82 AVG blijkt dus dat dit artikel voorziet in een regeling inzake schuldaansprakelijkheid, waarbij de bewijslast niet rust op de persoon die schade heeft geleden, maar op de verwerkingsverantwoordelijke.

Deze uitlegging wordt bevestigd door de context van artikel 82 en door de doelstellingen die de Uniewetgever met de AVG nastreeft.

In dit verband blijkt, ten eerste, uit de bewoordingen van de artikelen 24 en 32 AVG dat deze bepalingen de verwerkingsverantwoordelijke enkel verplichten om technische en organisatorische maatregelen te treffen om elke inbreuk op persoonsgegevens zo veel mogelijk te voorkomen. De vraag of dergelijke maatregelen passend zijn, moet concreet worden beoordeeld door te onderzoeken of de verwerkingsverantwoordelijke bij de uitvoering van die maatregelen rekening heeft gehouden met de in die artikelen bedoelde verschillende criteria en de behoeften van gegevensbescherming die specifiek inherent zijn aan de betrokken verwerking en de risico's daarvan (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punt 30).

Een dergelijke verplichting zou echter worden uitgehold indien de verwerkingsverantwoordelijke vervolgens verplicht zou zijn om alle schade te vergoeden die is veroorzaakt door een verwerking in strijd met de AVG.

Wat ten tweede de doelstellingen van de AVG betreft, blijkt uit de overwegingen 4 tot en met 8 ervan dat deze beoogt een evenwicht tot stand te brengen tussen de belangen van de verantwoordelijken voor de verwerking van persoonsgegevens en de rechten van personen van wie dergelijke gegevens worden verwerkt. Het doel bestaat erin de ontwikkeling van de digitale economie mogelijk te maken en tegelijkertijd een hoog beschermingsniveau voor persoonsgegevens te waarborgen. Het gaat derhalve om een afweging van de belangen van de verwerkingsverantwoordelijke en van de personen van wie de persoonsgegevens worden verwerkt. Een schuldaansprakelijkheidsregeling in combinatie met een omkering van de bewijslast, zoals bepaald in artikel 82 AVG, maakt het juist mogelijk een dergelijk evenwicht te waarborgen.

Enerzijds — zoals de advocaat-generaal in punt 93 van zijn conclusie in wezen heeft opgemerkt — zou het niet stroken met de doelstelling van een dergelijke hoge mate van bescherming indien zou worden gekozen voor een uitlegging volgens welke de betrokkenen die schade hebben geleden ten gevolge van een inbreuk op de AVG, in het kader van een vordering tot schadevergoeding op grond van artikel 82 AVG, niet alleen het bestaan van die inbreuk en de daaruit voor hen voortvloeiende schade moeten bewijzen, maar ook het bestaan van schuld in de vorm van opzet of nalatigheid bij de verwerkingsverantwoordelijke, en zelfs de mate van die schuld, terwijl artikel 82 AVG dit niet verlangt (zie in die zin arrest van 14 december 2023, Natsionalna agentsia za prihodite, C-340/21, EU:C:2023:986, punt 56).

Anderzijds zou een regeling van aansprakelijkheid zonder schuld niet waarborgen dat de blijkens overweging 7 AVG door de wetgever nagestreefde doelstelling van rechtszekerheid wordt verwezenlijkt.

Wat het tweede onderdeel van de vijfde vraag betreft, dat betrekking heeft op de vaststelling van het bedrag van de eventueel op grond van artikel 82 AVG verschuldigde schadevergoeding, zij eraan herinnerd dat — zoals in punt 83 van het onderhavige arrest is benadrukt — de nationale rechters bij de berekening van die schadevergoeding de interne regels van elke lidstaat inzake de omvang van de geldelijke vergoeding moeten toepassen, mits de Unierechtelijke beginselen van gelijkwaardigheid en doeltreffendheid, zoals omschreven in de vaste rechtspraak van het Hof, in acht worden genomen.

Er zij opgemerkt dat artikel 82 AVG, gelet op de compensatoire functie ervan, niet vereist dat bij de vaststelling van het bedrag van de krachtens die bepaling toe te kennen vergoeding voor immateriële schade, rekening wordt gehouden met de ernst van de inbreuk op deze verordening — die wordt geacht door de verwerkingsverantwoordelijke te zijn begaan —, maar wel vereist dat dit bedrag zo wordt vastgesteld dat de door de inbreuk op die verordening concreet geleden schade integraal wordt vergoed, zoals blijkt uit de punten 84 en 87 van het onderhavige arrest.

Bijgevolg moet op de vijfde vraag worden geantwoord dat artikel 82 AVG aldus moet worden uitgelegd dat, ten eerste, als voorwaarde voor de aansprakelijkheid van de verwerkingsverantwoordelijke geldt dat er bij hem sprake is van schuld, hetgeen wordt vermoed tenzij de verwerkingsverantwoordelijke bewijst dat het schadeveroorzakende feit hem niet kan worden toegerekend en, ten tweede, dat artikel niet vereist dat de mate van schuld in aanmerking wordt genomen bij de vaststelling van het bedrag van de krachtens deze bepaling toe te kennen vergoeding voor immateriële schade.